Rocky Linux 8：firefox (RLSA-2022:0130)

critical Nessus Plugin ID 184998

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 8 主機上安裝的多個套件受到 RLSA-2022:0130 公告中提及的多個弱點影響。

- 可以建構能夠繞過 iframe 沙箱的特定 XSLT 標記。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2021-4140)

- 建構音訊接收器可導致播放音訊檔案和關閉視窗時發生爭用情形。
這可能會造成釋放後使用，進而導致可能遭惡意利用的當機情形。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22737)

- 套用 CSS 篩選效果可能會造成超出邊界存取記憶體問題。這可能會造成堆積緩衝區溢位，進而導致可能遭惡意利用的當機情形。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22738)

- 惡意網站可誘騙使用者接受啟動處理外部 URL 通訊協定的程式。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。
(CVE-2022-22739)

- 釋放網路要求處理時，過早釋放特定網路要求物件。這可能會造成釋放後使用，進而導致可能遭惡意利用的當機情形。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22740)

- 在要求全螢幕存取權的同時調整快顯視窗的大小時，快顯視窗將無法退出全螢幕模式。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。
(CVE-2022-22741)

- 在編輯模式下插入文字時，某些字元可能會導致超出邊界存取記憶體，進而造成可能遭惡意利用的當機。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22742)

- 在要求全螢幕存取權的同時從 iframe 內部導覽時，攻擊者控制的索引標籤可使瀏覽器無法退出全螢幕模式。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22743)

- Securitypolicyviolation 事件可洩漏框架祖先違規的跨來源資訊。
此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22745)

- 接受不受信任的憑證後，將空的 pkcs7 序列作為憑證資料的一部分進行處理可能會導致當機。據信，此當機情況不會遭到惡意利用。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22747)

- 要求啟動程式和處理外部 URL 通訊協定時，惡意網站可使 Firefox 混淆顯示錯誤的來源。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22748)

- Mozilla 開發人員 Calixte Denizet、Kershaw Chang、Christian Holler、Jason Kratzer、Gabriele Svelto、Tyson Smith、Simon Giesecke 和 Steve Fink 報告 Firefox 95 和 Firefox ESR 91.4 中存在記憶體安全錯誤。某些錯誤顯示記憶體會遭到損毀，我們推測若有心人士有意操控，可能惡意利用其中部分錯誤執行任意程式碼。此弱點會影響 Firefox ESR < 91.5、Firefox < 96 和 Thunderbird < 91.5。(CVE-2022-22751)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。